Django團隊同時發布多個安全更新版本 建議盡快更新
編程派消息,Django團隊24日通過官方博客對外發布了多個版本更新——Django 1.7.11, 1.8.7, and 1.9 release candidate 2。據稱,這是為了解決一個安全問題。這些更新版本已經可以通過PyPI和 官網下載頁面 下載。同時,Django團隊還建議所有使用Django的用戶盡早升級。
CVE-2015-8213: 修復了模板過濾器(template filter)中可能泄漏設置(settings leak)的安全問題。
如果某個Django應用允許用戶設置未經驗證的日期格式,并將這個日期格式傳入日期過濾器(date filter)中,例如 {{ last_updated|date:user_date_format }} ,那么惡意用戶就可以通過傳入一個設置鍵(settings key),而非真正的日期格式,獲取應用的設置參數,例如: 傳入"SECRET_KEY",而不是"j/m/Y"。
為了解決這個問題,Django團隊已經對日期模板過濾器所使用的函數進行了修改,現在只允許訪問日期/時間的格式設置。
這個安全問題是Ryan Butterfield發現并報告給Django團隊的。
受到影響的版本包括:
- Django master development branch
- Django 1.9 (currently at release candidate status)
- Django 1.8
- Django 1.7
根據Django支持版本協議,Django 1.6和更早的版本不再進行安全更新。而且這也很可能是Django 1.7.x系列版本的最后一次更新,因為預計將于12月1日正式發布Django 1.9。
本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!